Ärzte Zeitung, 27.05.2011

Sicherheitslücke bei Kartenlesern: Jetzt wird die PIN geprüft

"Unter Hochdruck" will die gematik die Voraussetzungen für die mögliche Sicherheitslücke finden. Erste Hersteller geben indes Entwarnung.

Sicherheitslücke bei Kartenlesern: Jetzt wird die PIN geprüft

Wird der Heilberufeausweis mit den neuen stationärenTerminals genutzt, könnte theoretisch die PIN des Arztes ausgespäht werden.

© Deutsche Telekom

NEU-ISENBURG (reh). Die mögliche Sicherheitslücke bei den neuen stationären Kartenlesern hat in den vergangenen Tagen für viel Wirbel gesorgt.

Am Freitag meldete dann auch die gematik, die für die Tests und Bereitsstellung der Telematikinfrastruktur für die Gesundheitskarte zuständig ist, dass sie "unter Hochdruck" prüfe, unter welchen Bedingungen und bei welchen Anwendungen diese Schwachstelle auftrete.

Den Auftrag dazu habe sie von der Gesellschafterversammlung, in der unter anderem KBV, BÄK und GKV-Spitzenverband vertreten sind, erhalten, nachdem vergangene Woche bekannt geworden war (wir berichteten), dass es nach Aussagen der gematik bei den derzeit am Markt befindlichen stationären eHealth-BCS-Terminals eine potentielle Schwachstelle gebe.

Über diese solle es theoretisch möglich sein, über die Praxis-EDV die PIN des ärztlichen Heilberufeausweises (HBA) auszuspähen. Bei den nun laufenden Prüfungen würden auch das Bundesgesundheitsministerium sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) einbezogen.

Zudem sei die gematik beauftragt worden, über die Funktionen des Basis-Rollouts hinaus in ihre derzetigen Tests auch die Funktionalität der PIN-Nutzung einzubeziehen.

Die ersten Hersteller, die CCV Deutschland GmbH und die ZF Electronics GmbH, die die Cherry-Geräte vertreibt, gaben indes Entwarnung. Die genannte Sicherheitslücke basiere nicht auf einer fehlerhaften Firmware der Terminals, sondern auf den für eHealth-BCS-Geräte vorgeschriebenen Spezifikationen.

Die Sicherheit der Terminals sei mit gematik und BSI abgestimmt. Spätestens mit dem für die Online-Phase nötigen Update werde die mögliche Lücke geschlossen. Zudem sollten Ärzte, die den HBA für die Online-Abrechnung einsetzten laut ZF ohnehin auf ein für die Signatur zugelassenes Zweitgerät ausweichen.

Dieses Vorgehen nutzen etwa 95 Prozent der Online-Abrechner in Nordrhein, wie die KV Nordrhein (KVNo) mitteilt. KV-Vize Dr. Peter Potthoff fordert aber gerade für seine Region, dass den Ärzten schnellstmöglich und kostenfrei ein Update zur Verfügung gestellt werde.

Denn in Nordrhein, wo der Basis-Rollout seit 2009 abgeschlossen sei, verfügten zwei Drittel der Praxen bereits über die neuen Geräte. "Die Kosten für diese Anpassung können keinesfalls die Praxen tragen", sagte Potthoff. Er wolle darüber in Kürze mit den Kassen verhandeln.

Bis zu einer technischen Lösung empfiehlt Potthoff den wenigen nordrheinischen Ärzten, die die eHealth-BCS-Terminals für den elektronischen Heilberufeausweis mitnutzen, bei der Online-Abrechnung auf die HBA-signierte elektronische Gesamtaufstellung zu verzichten und die Online-Abrechnung mit papierner Gesamtaufstellung einzureichen.

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Dicker Hals = dickes Risiko fürs Herz

Nicht nur ein dicker Bauch spricht Bände – der Halsumfang eignet sich ebenfalls, um das kardiovaskuläre Risiko abzuschätzen. mehr »

Junge Ärzte müssen etwas zur Versorgung auf dem Land beitragen!

Politik und Verbände mühen sich ab, um junge Ärzte für die Versorgung auf dem Land zu begeistern. Blogger Dr. Jonas Hofmann-Eifler sieht die Verantwortung ein Stück weit auch bei sich und seinen Kollegen. mehr »

Konsequente Strategie gegen Diabetes

Angesichts der epidemischen Zunahme von Diabetes-Patienten in Deutschland, muss die nächste Bundesregierung unbedingt den Nationalen Diabetesplan umsetzen. mehr »